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(54) Title: SECURE METHOD FOR LOADING DATA BETWEEN SECURITY MODULES 

(54) Titre: PROCEDE DE CHARGEMENT SECURISE DE DONNEES ENTRE DES MODULES DE SECURITE 

(57) Abstract 

The invention concerns a secure method for loading secret data from a first security module towards a second security module, 
said first module comprising secret data, said second module comprising a first non— volatile memory and a second volatile memory. The 
invention is characterised in that said method comprises steps which consist in: recording data comprising random data in the first memory 
of the second module; sending to the second module secret data from the first module encrypted from the random data; transferring the data 
comprising the random data from the first memory to the second memory of the second module; decrypting said encrypted secret data, from 
the random data; and recording, in the second memory, said decrypted secret data. The invention is particularly applicable to telephone 
systems. 

(57) Abrege 

L* invention concerne un proce<i6 de chargement s^curise* de donnees secretes a partir d'un premier module de securite* vers un 
deuxieme module de security ledit premier module comportant des donnees secretes, ledit deuxieme module comportant une premiere 
mdmoire non volatile et une deuxieme m6moire volatile. L'invention se caracterise en ce que ledit procecle* comporte des 6tapes selon 
lesquelles, on enregistre des informations comprenant une donnee aldatoire dans la premiere m6moire du deuxieme module, on envoie au 
deuxieme module une donnee secrete du premier module chiffree a partir de la donnee aleatoire, on transfere les informations comprenant 
la donnee al6atoire de la premiere m&noire vers la deuxieme m6moire du deuxieme module, on dechiffre ladite donnee secrete chiffree, 
a partir de la donnee aI6atoire, et, on enregistre, dans le deuxieme module, ladite donnee secrete deehiffree. L'invention s'applique, en 
particulier, a la telephonie. 
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PROCEDE DE CHARGEMENT SECURISE DE DONNEES ENTRE DES 

MODULES DE SECURITE 

La presente invention concerne un procede de chargement 
securise de donnees secretes a partir d'un premier module de securite 
vers au moins un deuxieme module de securite, ledit premier module 
comportant au moins un fichier de donnees secretes, ledit deuxieme 
5 module comportant une premiere memoire non volatile et une deuxieme 
memoire volatile. 

L'invention trouve une application particulierement avantageuse 
dans le domaine de la telephonie. 

Dans le domaine de la telephonie, il existe des systemes 
10 d'administration de terminaux qui comportent un premier module de 
securite embarque dans un serveur d'administration et des deuxiemes 
modules de securite generalement embarques dans les terminaux 
precites* Les terminaixx sont appeles publiphones. 

Un deuxieme module de securite garantit la validite d'une carte 
15 utilisateur introduite dans un publiphone, notamment grace a une 
authentification de ladite carte. A cet effet, ledit deuxieme module de 
securite comprend dans sa premiere memoire des donnees secretes 
permettant de garantir ladite validite des cartes utilisateurs. Les 
systemes d'administration de publiphones ainsi que les donnees 
20 secretes sont geres par des operateurs de telephonie. Afin de diminuer 
les risques de fraude consistant a espionner un reseau de 
communication reliant le serveur et les publiphones et ainsi a decouvrir 
lesdites donnees secretes, les operateurs sont amenes a modifier 
regulierement tout ou partie des donnees secretes d'un deuxieme 
25 module de securite d'un publiphone, a partir de donnees secretes 
contenues dans un fichier du premier module de securite. 

Un procede connu de la technique comprend les e tapes selon 
lesquelles : 
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. on chiffre les donnees secretes du premier module de securite 
qui doivent etre transmises au deuxieme module de securite et 
qui se trouvent dans le serveur d'administration, 
. le publiphone se connecte au serveur d'administration 
5 lorsqu'aucune conversation n'est en cours, 

. les donnees secretes sont transmises au deuxieme module de 
securite se trouvant dans le publiphone. 
Lorsque le publiphone se connecte au serveur d'administration, il est 
indisponible a tout utilisateur, ainsi la connexion se fait generalement 
10 la nuit. L'echange de donnees se fait en mode deconnecte appele dans le 
langage anglo-saxon mode "off-line". 

Afm de diversifier les transmissions de donnees secretes, on fait 
intervenir une donnee pseudo-aleatoire basee sur une valeur dun 
compteur contenu dans le deuxieme module de securite. A chaoue 
15 echange de donnees secretes, la valeur du compteur est incremented le 
premier module de securite doit connaitre la valeur dudit compteur et 
incrementer un compteur local dedie audit deuxieme module. 

Bien que ce precede permette un chargement de donnees secretes 
entre un premier et deuxieme modules de securite, il necessite une 
20 administration lourde de bases de donnees permettant de garanfcr la 
synchronisation des different* compteurs. En effet, une trace de 
rensemble des echanges effectues avec un deuxieme module de secunte 
doit etre conserves De plus, ce precede ne garantit pas un echange de 
donnees parfaitement diversifie. 
25 Aussi, un probleme technique a resoudre par 1'objet de la 

presente invention est de proposer un precede de chargement secunse 
de donnees secretes a partir dun premier module de securite vers au 
moins un deuxieme module de securite, ledit premier module 
comportant au moins un fichier de donnees secretes, ledit deuxieme 
30 module comportant une premiere memoire non volatile et une deuxieme 
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memoire volatile, qui permettrait de garantir un echange de donnees 
parfaitement diversifie entre un premier et deuxieme modules de 
securite, en mode "off-line", tout en evitant une gestion trop lourde de 
bases de donnees. 

5 Une solution au probleme technique pose se caracterise, selon 

Invention, en ce que ledit precede de chargement comporte les etapes 

selon lesquelles : 

- on genere au moins une donnee aleatoire dans la deuxieme 

memoire du deuxieme module, 
10 - on enregistre des informations comprenant ladite donnee 

aleatoire dans la premiere memoire du deuxieme module, 

- on envoie au premier module la donnee aleatoire, 

- dans le premier module, on chiffre une donnee secrete du 
fichier dudit premier module, a partir de la donnee aleatoire et 

15 d'un algorithme de cryptage, 

- on envoie au deuxieme module ladite donnee secrete chiffree, 

- on transfere les informatiens, comprenant la donnee aleatoire 
de la premiere memoire du deuxieme module, de ladite 
premiere memoire vers la deuxieme memoire dudit module, 

20 . on dechiffre ladite donnee secrete chiffree, a partir d'un 

algorithme de decryptage et de la donnee aleatoire, et, on 
enregistre dans le deuxieme module, ladite donnee secrete 
dechiffree. 

Ainsi, comme on le verra en detail plus loin, le procede de 
25 chargement de l'invention permet, en utilisant une donnee aleatoire 
pour le chargement des donnees secretes, d'ameliorer la securite du 
chargement des donnees en diversifiant de facon parfaite les donnees 
transmises. Ainsi, un fraudeur qui espionne un reseau de 
communication et recupere les donnees transmises n'obtient jamais 
30 une meme valeur de chiffrement et ne peut par consequent decouvrir 



WO 00/56006 



PCT/FROO/00680 



4 

un secret relatif aux donnees secretes transmises. De plus, le fait 
d'enregistrer la donnee aleatoire dans une memoire non volatile du 
deuxieme module de securite permet de l'utiliser en mode "off-line", 
puisque ladite donnee aleatoire n'est pas perdue lorsque ledit deuxieme 
5 module de securite est mis hors tension. 

La description qui va suivre au regard des dessins annexes, 
donnee a titre d'exemple non limitatif, fera bien comprendre en quoi 
consiste l'invention et comment elle peut etre realisee. 

La figure 1 est un schema montrant un premier module de 
10 securite et plusieurs deuxiemes modules de securite. 

La figure 2 est un schema montrant le premier module et un 
deuxieme module de la figure 1. 

La figure 3 est un schema montrant un echange de donnees entre 
le premier module et le deuxieme module de la figure 2. 
15 La figure 4 un schema montrant un deuxieme echange de 

donnees entre le premier module et le deuxieme module de la figure 2. 

La figure 5 un schema montrant un troisieme echange de 
donnees entre le premier module et le deuxieme module de la figure 2. 

Sur la figure 1 est represente un premier module S de securite et 
20 plusieurs deuxiemes modules SAM de securite, chaque deuxieme 
module SAM comprenant une premiere memoire Ml non volatile et une 
deuxieme memoire M2 volatile appelee memoire de travail. La figure 2 
montre le premier module S et un deuxieme module SAM. Le premier 
module S comporte au moins un fichier EF1 de donnees secretes DATA 
25 et un algorithme ALGO de cryptage. Un fichier de donnees secretes est 
generalement associe a un operateur de telephonie donne. Le deuxieme 
module SAM comporte un algorithme ALGOP de decryptage inverse de 
ralgorithme ALGO de cryptage et des donnees secretes DATA. 

Afm de modifier une donnee secrete du deuxieme module SAM, il 
30 faut charger une donnee secrete a partir du fichier EF1 du premier 
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module S de securite. Le chargement doit se faire de facon securisee. La 
donnee secrete est ainsi transmise de maniere chiffree. La phase de 
chargement comprend plusieurs etapes decrites ci-apres. 

Dans une premiere etape, on genere au moins une donnee 
5 aleatoire RAND dans la memoire M2 volatile du deuxieme module SAM. 

Dans une deuxieme etape, comme le montre la figure 3, on 
enregistre des informations INFO comprenant ladite donnee aleatoire 
RAND dans la memoire Ml non volatile du deuxieme module SAM. Un 
emplacement memoire dans ladite memoire Ml non volatile est reserve 
10 a cet effet et est initialise par defaut a une valeur d' initialisation V. 

Dans un premier mode de realisation, les informations INFO, 
comprenant ladite donnee aleatoire RAND, comportent un indice relatif 
a une donnee secrete DATA. L'indice etant par exemple un numero de 
donnee secrete a modifier ou un indice d'emplacement memoire dans 
15 lequel une donnee secrete doit etre chargee dans le deuxieme module 
SAM. Ainsi, dans le cas ou le deuxieme module SAM est mis hors 
tension pour des raisons d'economie d'energie, la donnee aleatoire 
RAND et les informations associees ne sont pas perdues. 

Dans une troisieme etape, on envoie au premier module S la 
20 donnee aleatoire RAND. On notera que la deuxieme et la troisieme etape 
peuvent etre permutees. 

Afin de reduire le nombre d'acces au deuxieme module SAM, la 
generation et 1'envoi de la donnee aleatoire RAND ainsi que 
renregistrement des informations INFO dans le deuxieme module SAM, 
25 se font au moyen d'une premiere commande ASKLOADING. Cette 
premiere commande est envoyee par le serveur d'administration au 
deuxieme module SAM via le publiphone (non represente). 

Dans une quatrieme etape, dans le premier module S, on chiffre 
la donnee secrete DATA du fichier EF1 qui doit etre transmise dans le 
30 deuxieme module SAM. Le chiffrement comprend une etape de cryptage 
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utilisant l'algorithme ALGO de cryptage et la donnee aleatoire RAND. 
L'utilisation de la donnee aleatoire RAND evite d'avoir une meme valeur 
de chiffrement pour une donnee secrete DATA. Ainsi, un fraudeur 
pourra difficilement faire un lien entre les differentes donnees 
5 transmises sur le reseau de communication, celles-ci etant differentes a 
chaque transmission. Le chiffrement peut egalement comprendre, d'une 
part, une etape de signature de la donnee secrete DATA basee sur la 
donnee aleatoire RAND, et, d'autre part, une etape de certification des 
donnees transmises. La signature permet de verifier Tauthenticite de la 

10 donnee secrete DATA chargee et le certificat permet de verifier 1'integrite 
des donnees transmises. 

Dans une cinquieme etape, corame le montre la figure 4, on 
envoie au deuxieme module SAM ladite donnee secrete chiffree DATAC. 
Dans une sixieme etape, on transfere les informations INFO, 

15 comprenant la donnee aleatoire RAND de la memoire Ml non volatile du 
deuxieme module SAM, de ladite memoire Ml vers la memoire M2 de 
travail dudit module SAM. Ainsi, on recupere dans la memoire M2 de 
travail, la donnee aleatoire RAND, qui a ete utilisee pour chiffrer la 
donnee secrete DATA, ainsi que les informations associees. 

20 La duplication de la donnee aleatoire RAND et des informations 

associees dans deux memoires differentes du deuxieme module SAM 
peut generer des incoherences dans ledit module et des problemes de 
securite. Aussi, on ne garde qu'un seul jeu d'informations INFO dans le 
deuxieme module SAM. A cet effet, posterieurement a Tenregistrement 

25 des informations INFO comprenant ladite donnee aleatoire RAND dans 
la premiere memoire Ml du deuxieme module SAM (figure 3), on efface 
les informations INFO se trouvant dans la deuxieme memoire M2 dudit 
deuxieme module SAM. De la meme maniere, posterieurement au 
transfert des informations INFO comprenant la donnee aleatoire RAND, 

30 de la premiere memoire Ml du deuxieme module SAM dans la deuxieme 
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memoire M2 dudit module (figure 4), on efface lesdites informations 
INFO dans ladite premiere memoire M 1 . 

Enfin, dans une derniere etape, on dechiffre ladite donnee secrete 
chiffree DATAC, a partir de l'algorithme ALGOP de decryptage du 
5 deuxieme module SAM et de la donnee aleatoire RAND, et, on enregistre 
dans le deuxieme module SAM ladite donnee secrete DATA dechiffree. 

Afin de reduire le nombre d'acces au deuxieme module SAM, le 
transfert des informations INFO, le dechiffrement de la donnee secrete 
DATA dans le deuxieme module SAM et l'enregistrement, se font au 

10 moyen d'une deuxieme commande ADMINRECOVER. Cette deuxieme 
commande est envoyee par le serveur d'administration au deuxieme 
module SAM via le publiphone (non represente). Dans le cas ou un 
incident survient lors du chargement, ou a la fin dudit chargement, 
l'emplacement memoire, dans la memoire Ml non volatile, ou se 

15 trouvent les informations INFO comprenant la donnee aleatoire RAND, 
est reinitialise a la valeur d'initialisation V . Si un incident est survenu, 
une autre donnee aleatoire RAND est generee et les differentes etapes 
du procede decrites ci-dessus sont effectuees de nouveau. Lorsque la 
deuxieme commande ADMINRECOVER est envoyee, on verifie qu'une 

20 donnee aleatoire RAND a ete generee et enregistree. Ainsi, on verifie que 
l'emplacement memoire de la premiere memoire Ml non volatile du 
deuxieme module SAM, reserve a la donnee aleatoire RAND, ne 
comporte pas la valeur d'initialisation V. Si tel est le cas, la deuxieme 
commande ADMINRECOVER est executee. Dans le cas contraire, elle 

25 n'est pas executee et on effectue la premiere etape du procede. 

Generalement, un deuxieme module SAM gere differents types de 
carte utilisateur et comporte par suite plusieurs donnees secretes DATA 
associees a chaque type de carte utilisateur, un type de carte 
correspondant communement a un operateur donne, fournisseur 

30 desdites cartes. II est habituel de vouloir modifier l'ensemble des 



WO 00/56006 



PCT/FR00/00680 



8 

donnees secretes DATA associees a un type de cartes. Dans ce cas, on 
effectue les premieres etapes du procede de l'invention comme decrit 
precedemment, mais en les appliquant a l'ensemble des donnees 
secretes DATA a modifier. Ainsi, on genere successivement plusieurs 
5 donnees aleatoires RAND dans la deuxieme memoire M2 du deuxieme 
module SAM et on enregistre dans la premiere memoire Ml du 
deuxieme module SAM, consecutivement a chaque generation de 
donnee aleatoire RAND, les informations INFO comprenant la donnee 
aleatoire RAND generee. Comme le montre l'exemple de la figure 5, on 

10 genere trois donnees aleatoires RAND1, RAND2 et RAND3 dans le 
deuxieme module SAM et on les enregistre dans la memoire Ml non 
volatile dudit module. Par la suite, on envoie les trois donnees aleatoires 
generees au premier module S du serveur d' administration. On chiffre 
trois donnees secretes DATA1, DATA2 et DATA3 se trouvant dans le 

15 fichier EF1 du premier module S et correspondent aux trois donnees 
secretes a modifier dans le deuxieme module SAM. La correspondance 
est effectuee grace par exemple a trois indices (1,2 et 3) de donnee 
secrete envoyes en meme temps que les trois donnees aleatoires RAND. 
Enfin, pour transmettre les trois donnees secretes DATA1, DATA2 et 

20 DATA3 dans ledit deuxieme module SAM, on effectue toutes les etapes 
du procede de l'invention comme decrit precedemment, a partir de la 
cinquieme etape pour chaque donnee secrete DATA a charger ou pour 
l'ensemble des donnees secretes DATA comme avec les precedentes 
etapes. 

25 Ainsi, suivant un premier mode de realisation du chargement de 

plusieurs donnees decrit ci-dessus, lors de chaque chargement, on 
utilise une donnee aleatoire RAND pour charger une donnee secrete 
DATA. Suivant un second mode de realisation, afin de diminuer le 
temps de chargement des donnees secretes, lors de chaque chargement, 
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on utilise une unique donnee aleatoire RAND pour charger plusieurs 
donnees secretes DATA. 

Bien entendu, l'invention n'est nullement limitee au domaine de 
la telephonie, elle peut s'etendre a d'autres domaines dans lesquels est 
mis en oeuvre un systeme d'echange de donnees entre un module 
centralise disposant de donnees secretes et des modules delocalises 
antes a recevoir lesdites donnees secretes. 
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REVENDICATIONS 

1 - Procede de chargement securise de donnees secretes a partir 
d'un premier module (S) de securite vers au moins un deuxieme 
module (SAM) de securite, ledit premier module (S) comportant 
au moins un fichier (EF1) de donnees secretes (DATA), ledit 
deuxieme module (SAM) comportant une premiere memoire (Ml) 
non volatile et une deuxieme memoire (M2) volatile, caracterise en 
ce qu'il comporte les etapes selon lesquelles : 

- on genere au moins une donnee aleatoire (RAND) dans la 
deuxieme memoire (M2) du deuxieme module (SAM), 

- on enregistre des informations (INFO) comprenant ladite 
donnee aleatoire (RAND) dans la premiere memoire (Ml) du 
deuxieme module (SAM), 

- on envoie au premier module (S) la donnee aleatoire (RAND), 

- dans le premier module (S), on chiffre une donnee secrete 
(DATA) du fichier (EF1) dudit premier module (S), a partir de la 
donnee aleatoire (RAND) et d'un algorithme (ALGO) de 
cryptage, 

- on envoie au deuxieme module (SAM) ladite donnee secrete 
chiffree (DATAC), 

- on transfere les informations (INFO), comprenant la donnee 
aleatoire (RAND) de la premiere memoire (Ml) du deuxieme 
module (SAM), de ladite premiere memoire (Ml) vers la 

25 deuxieme memoire (M2) dudit module (SAM), 

- on dechiffre ladite donnee secrete chiffree (DATAC), a partir 
d'un algorithme (ALGOP) de decryptage et de la donnee 
aleatoire (RAND), et, on enregistre dans le deuxieme module 
(SAM), ladite donnee secrete (DATA) dechiffree. 



15 



20 
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2 - Procede selon Tune des revendications precedentes, 
caracterise en ce qu f il comporte une etape supplementaire selon 
laquelle : 

- posterieurement a l'enregistrement des informations (INFO) 
5 cornprenant ladite donnee aleatoire (RAND) dans la premiere 

memoire (Ml) du deuxieme module (SAM), on efface les 
informations (INFO) se trouvant dans la deuxieme memoire 
(M2) dudit deuxieme module (SAM). 

3 - Procede selon l*une des revendications precedentes, 
10 caracterise en ce qu'il comporte une etape supplementaire selon 

laquelle : 

- posterieurement au transfert des informations (INFO) 
cornprenant la donnee aleatoire (RAND) , de la premiere 
memoire (Ml) du deuxieme module (SAM) dans la deuxieme 

15 memoire (M2) dudit module, on efface lesdites informations 

(INFO) dans ladite premiere memoire (Ml). 

4 - Procede selon Tune des revendications precedentes, 
caracterise en ce que la generation et renvoi de la donnee 
aleatoire (RAND) ainsi que l'enregistrement des informations 

20 (INFO) dans le deuxieme module (SAM), se font au moyen d'une 

premiere commande (ASKLOADING). 

5 - Procede selon Tune des revendications precedentes, 
caracterise en ce que le transfert des informations (INFO), le 
dechiffrement de la donnee secrete (DATA) dans le deuxieme 

25 module (SAM) et l'enregistrement, se font au moyen d'une 

deuxieme commande (ADMINRECOVER). 

6 - Procede selon Tune des revendications precedentes, 
caracterise en ce que les informations (INFO), cornprenant ladite 
donnee aleatoire (RAND), comportent un indice relatif a une 

30 donnee secrete (DATA). 
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7 - Procede selon Tune des revendications precedentes, 
caracterise en ce que Ton genere successivement plusieurs 
donnees aleatoires (RAND) dans la deuxieme memoire (M2) du 
deuxieme module (SAM) et on enregistre dans la premiere 
memoire (Ml) du deuxieme module (SAM), consecutivement a 
chaque generation de donnee aleatoire (RAND), les informations 
(INFO) comprenant la donnee aleatoire (RAND) generee. 

8 - Procede selon Tune des revendications precedentes, 
caracterise en ce que, lors de chaque chargement, on utilise une 
donnee aleatoire RAND pour charger une donnee secrete DATA. 

9 - Procede selon l*une des revendications 1 a 7, caracterise en ce 
que, lors de chaque chargement, on utilise une unique donnee 
aleatoire RAND pour charger plusieurs donnees secretes DATA. 
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